前段时间对公司的网站进行了一下扫描,运用的是awvs扫描器,发现了几处SSL方面的安全缝隙,网上找了一些修正的主张,共享给我们,假如你也遇到和我相同的问题,可以用此修正。
Web网站的SSL缝隙首要包含如下几种:
1、SSL RC4 Cipher Suites Supported
2、SSL Weak Cipher Suites Supported
3、The FREAK attack(export cipher suites supported)
4、The POODLE ataack(SSLV3 supported)
5、SSL 2.0 deprecated protocol
6、OpenSSL 'ChangeCipherSpec' MiTM Vulnerability
修正主张我运用的是awvs官方引荐的修正主张,具体的总结为如下:
针对OPENSSL,请运用如下装备:
ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH
+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5
适用于Apache HTTP Server 2.2+/2.4+ with mod_ssl,装备文件apache/conf/extra/httpd-ssl.conf
SSLProtocol ALL -SSLv2 -SSLv3 SSLHonorCipherOrder On SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5 SSLCompression Off
关于部分apache版别,不支持SSLCompression Off的装备,或许需求在/etc/sysconfig/httpd文件中刺进OPENSSL_NO_DEFAULT_ZLIB=1装备来禁用ssl紧缩
ssl_prefer_server_ciphers On; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5;
需求留意的是nginx下,封闭TLS紧缩,或许和你运转的OpenSSL及nginx版别相关,假如你运用是OpenSSL 1.0上版别,nginx版别为1.1.6以上或者是1.0.9+ TLS紧缩默许便是封闭的。假如你运用的OpenSSL1.0以下版别,由有必要运用nginx 1.2.2+/1.3.2
原文地址:https://www.acunetix.com/blog/articles/tls-ssl-cipher-hardening/
近期由于内部培训有序列化的需求,所以趁此机会由浅入深的分析一下序列化相关内容。 之前也写过由浅入深的xml缝隙系列,欢迎阅览: https://skysec.top/2019/08/17/浅析xml及...
「黑客网络接单_中国最小黑客的联系方式-网赌找黑客靠谱吗」在本节中,咱们将介绍第2步和第3步(请参阅简介),以便将缝隙运用的环境设置为有用而且不需求用户交互。 假如方针站点满意条件1和2,可是对方没有...
漏洞CVE-2019-0708涉及到了RDP驱动器termdd.sys中的_IcaBindVirtualChannels 和_IcaRebindVirtualChannels。 我们可以从下图中看到,...
支撑咱们得到的榜首个结论是,进犯者现在十分清楚安全职业运用哪些技能来对进犯进行溯源,因而他们也乱用这些信息,来捉弄安全研究人员。 另一个需求考虑的要素是,进犯的首要方针或许纷歧定是盗取信息或进行损坏,...
这次挂马点比较荫蔽,通过重复查看后承认是运用论坛的缝隙刺进了挂马页面。 该缝隙是Discuz论坛针对ed2k协议解析时的一个XSS缝隙[2],在解析进程论坛会主动对e2dk链接中的文件巨细进行辨认并直...
想要编写Burp的插件,有必要运用BurpSuite所供给的API接口,不然你是无法编程的,不管你运用的何种言语,Java and python。 20...